Tilkynningar um atvik og áhættu

Meðferð NIS skyldutilkynninga

Í 8.gr. NIS löggjafarinnar er kveðið á um skyldubundnar tilkynningar alvarlegra atvika eða áhættu sem ógnar öryggi net- og upplýsingakerfa mikilvægra innviða. Enn fremur er kveðið á um tilkynningaskyldu rekstraraðila nauðsynlegrar þjónustu í 25. gr. reglugerðar 866/2020. Tilkynning skal berast frá rekstraraðilum til CERT-IS innan sex klukkutíma frá því að borin hafa verið kennsl á atvik eða áhættu í kerfi rekstraraðila nauðsynlegrar þjónustu.

 Í 8. gr. laga nr. 78/2019 og í 25. gr. reglugerðar nr. 866/2020 er sett fram viðmið varðandi alvarleg tilkynningaskyld atvik og áhættu. CERT-IS leggur til eftirfarandi viðmið varðandi mat á alvarleika:

  • Áhrif á veitingu þjónustu rekstraraðila. Atvik eða áhætta sem ógnar veitingu nauðsynlegrar þjónustu, hvort sem er ósamfella, þjónusturof eða önnur röskun á öryggi og/eða virkni kerfa. Miðað er við að þjónusturof sé ávallt tilkynningaskylt en við mat annarra ógna sé miðað við þætti hér á eftir. Athugið að í reglugerð nr. 866/2020 er einnig tekið fram að fyrirsjáanlegar truflanir, s.s. vegna viðhalds, séu tilkynningarskyldar.
  • Raungerð eða möguleg áhrif á aðra mikilvæga innviði eða efnahagslega og samfélagslega starfsemi eða stafræna þjónustu. CERT-IS mælist til að aðilar tilkynni atvik sem talin eru ógna öðrum rekstraraðilum eða innviðum þjóðfélagsins, jafnvel þó ekki sé um að ræða ógn gegn tilkynnanda sjálfum.
  • Hversu lengi atvik hefur staðið yfir. Alvarleiki atviks eykst með þeim tíma sem það varir yfir. Hafi atvik sem er á mörkum þess að vera alvarlegt staðið yfir í meira en 2 tíma telst það alvarlegt og tilkynningaskylt.
  • Útbreiðsla atviks, s.s. hvað varðar landfræðileg áhrif og fjölda notenda sem atvik hefur áhrif á. Sé um verulega útbreiðslu að ræða, þ.e. yfir 20% notenda, 20% starfsmanna eða 20% rekstrarstöðva, telst atvik alvarlegt og tilkynningaskylt. Atvik sem talið er að hafi eða geti haft áhrif yfir landamæri eru ávallt tilkynningaskyld.

Mikilvægt er að rekstraraðilar leggi sjálfstætt mat á öryggisatvik í sínum kerfum út frá þessum forsendum en einnig má nota leiðbeiningar CERT-IS til stuðnings við mat sitt.

Form tilkynningar

CERT-IS óskar eftir að stuðst sé við leiðbeiningar um aðrar atvikatilkynningar og tryggt sé að eftirfarandi atriði komi skýrt fram:

  1. Hvenær atviks eða áhættu varð fyrst vart
  2. Frummat á eðli og/eða tegund atviks eða áhættu
  3. Frummat á umfangi atviks eða áhættu
  4. Frummat á mögulegum smitáhrifum
  5. Hver sé rekstraraðili umræddra net- og upplýsingakerfa, t.a.m. ef rekstri þeirra er útvistað

Vinnsla og miðlun upplýsinga til eftirlitsstjórnvalds

Samkvæmt 9. gr. laga nr. 78/2019 (NIS-lög) og 25. gr. reglugerðar nr. 866/2020 skal CERT-IS tryggja að upplýsingar sem krafist er í 8. gr. NIS-laga séu aðgengilegar viðkomandi eftirlitsstjórnvaldi svo fljótt sem verða má, og eftir atvikum, til annarra eftirlitsstjórnvalda sé atvik af þeim toga að það geti haft víðtæk áhrif.

Gætt er trúnaðar við tilkynnanda í skýrslugjöf CERT-IS til eftirlitsstjórnvalds eins og kostur er. Tæknilegar upplýsingar sem veittar eru CERT-IS eru meðhöndlaðar í trúnaði og í þeim tilgangi að aðstoða við úrlausn atviks. Samskipti CERT-IS við eftirlitsstjórnvald takmarkast við skýrslugjöf í samræmi við 8. og 9. gr. NIS-laga. Eftirfylgni atviks, og eftir atvikum rannsókn, er á ábyrgð viðkomandi eftirlitsstjórnvalds og eru bein samskipti milli þess stjórnvalds og tilkynnanda.